一次针对 Drift Protocol 的复杂攻击,通过伪造代币操纵预言机价格、利用被攻陷的管理员密钥并禁用核心提款保护机制,疑似共抽走约 2.85 亿美元资金。
提前数周埋好的“伪抵押品”
根据独立研究员 Ares 分享的链上分析,这次攻击在真正开始资金外流前的数周就已布局。攻击者铸造了 7.5 亿枚名为 “CarbonVote Token” (CVT) 的伪造资产,并在 Raydium(RAY)上建立了一个只注入 500 美元流动性的交易池,人为将其价格维持在接近 1 美元。
在随后的数周内,攻击者通过自买自卖(洗盘交易)方式为该代币构建出“可信”的链上价格历史,从而让预言机机制把它识别为具有真实抵押价值的资产。
管理员密钥被攻陷与保护机制被移除
4 月 1 日,攻击者利用被攻陷的 Drift 管理员密钥,将 CVT 上线为现货市场。在同一笔交易中,多市场的提款保护阈值被上调到极端水平,等同于关闭了原本用于限制大额资金流出的安全闸门。
延伸阅读: Bitcoin Redistribution Phase Echoes Q2 2022 Bear Market - Glassnode Report
随后,攻击者向多个账户共存入约 7.85 亿枚 CVT,按被操纵的预言机价格计约为 7.85 亿美元。
数分钟内被掏空的金库
借助被严重高估的抵押品,攻击者在约 12 分钟内执行了 31 笔提款交易,从多个金库中抽走资产。
被盗资产包括 6640 万美元 USDC、4270 万美元 JLP、2330 万美元 MOODENG(MOODENG)以及少量其他代币。
随后,这些资金被集中整理,其中一部分通过移除永续流动性的方式被销毁,剩余部分被兑换为 SOL,再分散到多个钱包地址中。
多重签名密钥的使用表明,要么有更大范围的运营基础设施被攻陷,要么攻击者掌握了多组高权限凭证,这进一步引发了对内部安全控制的担忧。
接下来阅读: CLARITY Act Stablecoin Deal Could Come Within 48 Hours, Coinbase CLO Predicts